152-ФЗ_2025_изменения_чек-лист_для_соблюдения_и_штрафов

152-ФЗ 2025 изменения: чек-лист для соблюдения и штрафов

Чек-лист по 152-ФЗ: изменения 2025 года, локализация ПДн и уведомление Роскомнадзора

Введение

Всё началось с письма от нашей IT-службы — “Нужен аудит хранения ПДн. Срочно”. Я вздохнула. Опять? И вот, сидя за кофе в полупустом офисе, открыла редакцию закона №152-ФЗ. С 1 июля 2025 года правила игры меняются — серьёзно меняются. Это не просто бюрократическая косметика. Это — жёсткий контроль, точные формулировки, миллионы штрафов и стопроцентная прозрачность перед Роскомнадзором.

Особенно остро встаёт вопрос локализации персональных данных, новой формы согласия на их обработку и постоянных уведомлений контролирующего органа. Не понравится — заблокируют. Нарушил — заплати. Поэтому здесь — мой подробный гайд: что меняется, куда смотреть и сколько это может стоить, если пропустить срок.

1. Обзор изменений в 152-ФЗ в 2025 году

Суть простая: государство усиливает контроль над хранением и обработкой ПДн. В законе появляется много нюансов, но основное — прозрачность и ответственность.

Вот ключевые нововведения:

  • Требования к локализации ПДн становятся строже. Теперь недостаточно просто хранить “где-то в облаке”. Должно быть — здесь, в России.
  • Вводят унифицированную форму согласия, которую утвердило Правительство РФ в распоряжении №856-р.
  • Усиливаются меры безопасности — особенно для биометрии и спецкатегорий данных.
  • Расширяется перечень случаев, когда можно обрабатывать данные без письменного согласия — например, при передаче в госорганизации.
  • Штрафы — до 15 миллионов рублей за крупные ошибки. Не шутка.

На практике? В 2024 году крупный ритейлер получил 2 миллиона штрафа за небрежную обработку CRM-базы. CRM просто не обновлялась.

2. Локализация ПДн: что нужно знать

Когда-то я думала: облака — это удобно. Всё работает, не думаешь ни о чём. Но теперь — нет. Локализация не про удобство. Это — местоположение, защита и контроль.

С 2025 года:

  • Все персональные данные россиян должны храниться и обрабатываться на территории РФ. Или — у строго подотчётных сервисов, в соблюдении условий закона.
  • Обязательно фиксировать каждую операцию. Кто, что, когда — всё как на ладони.
  • С 1 сентября 2025 года передавать обезличенные данные в Минцифры станет обязательным, если у вас высоконагруженный проект (подробнее).

Я видела, как одна IT-компания выводила свои системы на российские дата-центры в экстренном режиме. Потому что за два предупреждения приходит третий — с приостановкой деятельности.

Что делать?

  • Проведите аудит серверов и подрядчиков. Убедитесь: сервер — в России, условия контракта — крепкие.
  • Закладывайте в договоры с зарубежными партнёрами обязательства по локализации. Чётко и по строкам.
  • Используйте российских облачных операторов: сертификация — ключ к спокойствию.

3. Уведомление Роскомнадзора: шаги и сроки

Вот диалог из нашей внутренней переписки:

— “Это точно надо уведомлять?”
— “Точно. Даже если просто обрабатываем ФИО и почты для рассылок”.

Уведомление Роскомнадзора — как правило хорошего тона, только обязательное. Не уведомил — поплатился.

Что делать:

  1. Соберите список всех данных, которые хранятся и обрабатываются — реестр ПДн.
  2. Заполните обновлённую в 2025 году форму уведомления. Там появилось много новых пунктов.
  3. Подайте через портал Роскомнадзора.
  4. Дождитесь подтверждения регистрации.

Сроки? Либо до начала обработки, либо в течение 30 дней после, если случай спорный.

Совет: подключите CRM, чтобы следить за изменениями и автоматизировать подачу уведомлений. Мы пользуемся внутренним решением — с напоминаниями. Работает отлично.

4. Штрафы за нарушение 152-ФЗ: что грозит бизнесу

Один звонок от Роскомнадзора — и день испорчен. Особенно если причину не сразу находишь.

В 2025 году статья про штрафы пополнилась жирными цифрами:

  • Юридическим лицам — от 300 тыс. до 15 млн рублей.
  • За что? Нарушение локализации, отсутствие уведомления, несвоевременную реакцию на утечку.
  • Есть и штрафы для сотрудников, но нас тут интересуют масштабы компании.

В 2024 году банк получил 10 млн штрафа за утечку биометрии. Онлайн-магазин — 500 тысяч за согласие, которое “забыли” обновить.

Что спасает:

  • Настройте систему безопасности “на все уровни”.
  • Обучите сотрудников — на лекции, тренинге, просто на кофе с примерами.
  • Получайте новые согласия регулярно. Не реже раза в год.
  • И главное: сообщите Роскомнадзору сразу, если что-то пошло не так.

5. Договоры с подрядчиками: поправки и изменения

Подрядчик — это слабое звено. Он может взять данные и передать их дальше. Незаметно. Без злого умысла. Просто ошибка.

А отвечать будете вы.

С новыми требованиями договоры нужно переработать. Вот что должно быть внутри:

  • Указание на соблюдение 152-ФЗ.
  • Ответственность за утечки — рублём.
  • Пункты о локализации и сроках хранения данных.
  • Условия возврата или уничтожения данных по завершении проекта.

Многие компании уже пересмотрели свои шаблоны. Добавили приложения, контрольные акты, обязательства по уведомлению о любых инцидентах.

Если не знаете, с чего начать — обратитесь к юридическому консультанту. Или хотя бы скачайте пример шаблона договора с учётом изменений от Qugo.

Заключение

Нет, это не про панику. Да и не про очередной госзакон, который можно “обойти”. Теперь всё по-другому.

Локализация. Уведомления. Ответственность.

Лучшее, что может сделать бизнес — заранее подготовиться и не откладывать обновление процессов. Это не просто закон. Это — доверие клиентов, жёсткие рамки и шанс выстроить систему, которую не развалит первое же письмо от регулятора.

Если всё сделать правильно — новые правила становятся не проблемой, а конкурентным преимуществом.

Хотите быть в курсе последних новостей о бизнесе? Подпишитесь на наш Telegram-канал — сюда

Календарь мероприятий и закрытых сессий по актуальным темам — здесь

Читайте также

Опубликовано

в

от

Виктория Гамзаева